Dernièrement, un journaliste m’a demandé en quoi il était plus difficile de sécuriser le vote électronique que, par exemple, le système bancaire. Mes collègues Véronique Cortier et Pierrick Gaudry (que je salue au passage s’ils lisent cet article) ont publié en 2022 un ouvrage grand public sur le vote électronique, et je ne vais évidemment pas prétendre faire mieux qu’eux en un court billet. Essayons toutefois.
La principale différence entre le vote électronique et le système bancaire est que la banque est basée sur l’enregistrement systématique de toutes les transactions, que l’on peut retracer, dont on peut vérifier l’intégrité, dont on fournit un relevé exhaustif aux clients et clientes. En revanche, un système de vote électronique destiné à un scrutin secret ne peut conserver une liste nominative des votes. Le problème du vote électronique est donc la tension entre le secret du vote et les autres propriétés que l’on souhaite garantir.
Considérons, à l’inverse, le problème d’un système de vote destiné à un scrutin public. L’Assemblée nationale en utilise une modalité simple : chaque votant·a devant lui deux boutons (pour / contre) qui transmettent l’information à un système qui rassemble et comptabilise les votes. Quelles sont les faiblesses d’un tel système ?
Un·e votant·e n’a pas de garantie que son vote sera comptabilisé (que ce soit en raison d’une panne matérielle, par exemple un faux contact dans les boutons, ou de part une action malhonnête). En revanche, il ou elle remarquera que son vote ne figure pas au tableau.
Un·e votant·e n’a pas de garantie que son vote sera correctement comptabilisé. En revanche, il ou elle remarquera que son vote au tableau ne correspond pas à son intention.
Peut-être plus ennuyeux, si un·e votant·e explique a posteriori que son vote a été incorrectement comptabilisé, l’organisation n’a aucune façon de démontrer qu’en fait si, cela a bien été le cas. Ce problème de non-répudiation du vote exprimé peut se régler en faisant signer cryptographiquement les votes par les votant·e·s (ce qui pose toutefois quelques problèmes pratiques).
J’ai fait ici une analyse où j’examine si les modalités de vote assurent ou non des propriétés (par exemple, la non-répudiation, la vérifiabilité), au regard de la possibilité de pannes non intentionnelles (sûreté de fonctionnement) ou intentionnelles (sécurité de fonctionnement). C’est ainsi que l’on procède dans ces domaines, du moins quand on est sérieux. Les classifications binaires en « sécurisé » ou « non sécurisé » n’ont en effet guère de sens : on vérifie ou non des propriétés par rapport à un certain modèle de panne, à un certain modèle d’attaquant, etc.
Examinons maintenant de plus près un vote à l’urne. L’impossibilité de « bourrer l’urne » est assurée par la présence constante d’assesseurs et autres témoins depuis le début du vote jusqu’à la fin. L’urne est transparente, il est donc impossible d’y placer discrètement un paquet de bulletins. Chaque vote déposé est pris en compte car des témoins vérifient que le dépouillement est exhaustif et qu’on n’invalide pas des votes valides. Le secret du vote est assuré par l’agrégation des votes au sein de l’urne : on sait que dans tel bureau de vote tant de personnes ont voté pour X et tant pour Y, mais on ne sait pas qui a voté pour X ou pour Y. Une fois cette agrégation faite, il n’y a plus de secret : les données de chaque bureau de vote sont accessibles, les témoins peuvent vérifier que les résultats publiquement rapportés correspondent à ceux qu’ils ont constatés, et (même si cela est fastidieux) on peut vérifier les totalisations établies à des degrés supérieurs.
La difficulté du vote électronique est de réussir à reproduire ces propriétés à l’aide de systèmes cryptographiques. Par exemple, la propriété d’agrégation des votes de l’urne, où l’on peut les décompter globalement mais sans pouvoir revenir à chaque vote individuellement, peut être assurée par du chiffrement homomorphe, ou un réseau de mélange. On commence à identifier la difficulté : une fonction assurée, dans le vote papier, par un mécanisme qu’un enfant peut comprendre est maintenant assuré, dans le vote électronique avec assurances cryptographiques, par un procédé avec un nom compliqué (homomorphe !) et dont l’explication demande, même en version simplifiée (chiffrement RSA, par exemple) des connaissances de mathématiques enseignées en mathématiques supérieures et spéciales.
Le niveau de sophistication nécessaire dans la compréhension des raisonnements et des mathématiques impliquées dans le vote cryptographique est à mettre en relation avec celui de la population générale. On déplore régulièrement qu’une bonne partie des élèves, mais aussi de la population adulte, sont en difficultés en mathématique (voir par exemple une consultation récente par l’institut de mathématiques du CNRS). De façon plus anecdotique, je constate que des collègues de disciplines éloignées des mathématiques ont parfois des difficultés sur des choses assez élémentaires (confusion entre millions et milliards en parlant de budgets à l’échelle d’un pays, « pour la règle de trois je ne me souviens jamais où il faut multiplier et où il faut diviser », etc.). Il est également difficile de faire passer des raisonnements un peu complexes, avec des hypothèses, des réponses non binaires (bien / pas bien, sûr / pas sûr).
Voyons ce que pourrait donner en pratique le questionnement au sujet d’un anonymat garanti par chiffrement homomorphe. Le premier intervenant, un climatosceptique, dans la séance de questions à une récente conférence du climatologue Jean Jouzel à Grenoble a longuement expliqué qu’il ne voyait pas en quoi on pouvait relier les mesures isotopiques etc. des glaces à une évolution du climat. En d’autres termes, son argument était au fond que parce que lui, sans avoir lu la littérature scientifique, ne voyait pas le rapport, alors il n’y en avait pas. De même, on peut parier que des gens qui ont des difficultés avec des mathématiques de 6e ou 5e vont se dire qu’il est impossible de réaliser une fonction d’agrégation préservant l’anonymat (« mais pour compter, il faut déchiffrer chaque bulletin ! »). La réponse devrait être « si si c’est possible, des gens plus savants que vous ont étudié la question ». Et c’est là que le bât blesse.
Le COVID, le réchauffement climatique et les polémiques agricoles ont démontré que des citoyens pouvaient aller jusqu’à menacer des scientifiques pour des conclusions qui leur déplaisent. Des gens dont la compréhension de la physique, de la biologie ou du fonctionnement de la recherche scientifique est très limitée se sont mis à avoir des opinions très arrêtées sur ces sujets. Une anecdote : quand j’ai mentionné sur un réseau social que Véronique Cortier, spécialiste du vote électronique, donnerait une conférence à Grenoble, un quidam a répondu qu’il espérait bien qu’elle s’exprimerait contre ; comme si un discours scientifique n’était admissible que s’il concluait dans le sens des opinions politiques du non spécialiste.
En d’autres termes, même si nous disposions d’un système parfaitement fiable (notion à définir : sous quelles hypothèses, contre quelles attaques, selon quelles capacités d’attaquant, pour garantir quelles propriétés), il serait impossible de communiquer à la population les raisons pour lesquelles c’est le cas. Nous serions à la merci du premier ou de la première démagogue qui expliquerait que les élections ont été truquées.